基于大型商业应用私有云取证方法初探
◆杨 鹏
(重庆警察学院信息安全系 重庆 401331)
摘要: 随着云计算的广泛应用,在云环境下网络犯罪已成为我们必须关注的问题,由于云环境的数据存储和交换本身存在很多不确定性因素,并且网络拓扑复杂,导致云环境下的电子数据调查一般比较困难和棘手,尤其是一些大型商业应用私有云的取证。本文对云计算下的电子数据取证面临的挑战进行分析,并从实战角度出发,针对大型商业私有云的复杂取证环境,提出网络拓扑及数据库的取证框架,以此来解决云计算环境下的取证难点。
关键词: 云计算;取证;框架;实战
云计算的核心是海量数据的存储和计算,通常由几十万台甚至几百万台计算机构成的计算机群对数据进行聚合和分布处理,然后通过网络对客户提供服务。
在云计算时代,对于数据的计算、处理等操作,都可以交给云计算数据中心进行。云计算平台可以看成是一个强大的“云”网络,不仅将众多并发的网络计算和服务链接起来,还利用虚拟化计算对每个服务器能力进行拓展,这样就通过云计算平台使得各自的资源整合起来,拥有超级计算和存储能力[1]。
云计算分为公有云、私有云、混合云、行业云等。电子数据取证的对象可以是整个大数据,也可以是某一私有云的大数据,也可以是某一公有云的大数据。由于庞大的存储及复杂的网络拓扑,给电子数据取证带来困难,特别是处理大型商业应用私有云取证的违法犯罪对传统的电子数据勘查取证提出了巨大的挑战。本文将从实战的角度出发,围绕网络分析、数据分析及数量庞大的数据库分析,提出相应取证对策。
1 云计算下电子数据取证面临的挑战
随着云计算和云存储的不断成熟和完善,我们在享受云计算带来便捷的同时也发现云的不确定性和危险性,尤其针对司法部门,在云计算下的电子取证和固定是一个敏感而又棘手的问题[2]。
1.1 取证数据量大、数据类型繁多
传统的计算机取证环境通常分为单机、涉及网络环境下的取证。取证环境较为单一,需要取证的对象也比较明确。而云环境下为公有云、私有云和混合云,都是建立在大量的服务器集群和IDC数据中心的基础上,数据的起始计量单位至少是P(1000个T)、E(100万个T)或Z(10亿个T),并且数据类型繁多,包括网络日志、音频、视频、图片、地理位置信息等,而且还有众多自建的私有类型,常用的数据浏览工具无法正常识别,使取证人员面临的取证环境较传统计算机取证环境复杂,基于传统计算机取证环境下的取证规则不再完全适用。
1.2 取证无实体
根据国际电子取证惯例,取证分为证据扣押、证据获取、证据分析与证据呈现四个阶段[3]。证据扣押是各类国际电子取证手册列为取证过程开始的第一项。在传统计算机取证环境下,需要物理扣押的证据比较明确,但在云计算环境下,云计算涉及大量的服务器集群及相关网络设备和存储设备。传统的计算机取证环境通常可以确定证据线索存在位置,可以使用成熟的取证方法获取或者镜像相关内存和磁盘,但由于云计算环境资源动态调度的特性,取证人员难以确定某个特定时间,需要取证的虚拟机运行在哪个服务器上,很难找到实体,这使传统的针对内存和磁盘的取证方法往往不再适用[4]。
商业私有云取证的核心为数据库取证,绝大多数与案件相关的重要证据均存在于数据库中,但由于大型商业私有云的数据库类型多,数据量大,并且大多采用了分库分表设计,取证过程通常需要对几十亿条数据记录进行合并、去重、统计分析,常规单台取证服务器根本无法满足计算需求,本文根据实战提出切实可行解决方案。
1.3 价值证据密度低
在云计算环境下,嫌疑人使用的数据往往只是云计算环境下海量存储中非常小的部分,可能涉及众多的存储设备和服务器,数据价值密度相对较低。如随着物联网的广泛应用,信息感知无处不在,信息海量,但价值密度较低,如何通过强大的机器算法更迅速地完成数据的价值“提纯”,是亟待解决的难题。对云计算环境下海量数据获取处理时,往往难以获取到犯罪嫌疑人大量的涉案证据和线索。
2 取证框架
2.2.1 数据文件统一化
2.1.1 基于漏洞的取证
2.1 网络拓扑取证
对于商业私有云环境取证,首先要理清整个系统的网络拓扑,不然对于几百台服务器的集群环境、庞大的存储阵列,将无从下手。有些云环境分布在多个省市,甚至跨境,这对于网络拓扑的分析尤为重要。
我国尽管实行的是中国特色社会主义民主政治制度,但由于官僚政治的长期浸染和一些文化积习的影响,官僚主义的“灰尘”和“污毒”犹在。毛泽东批评政府人员的弊端时,第一条就是“官僚主义,摆架子,不喜接近群众。群众有人走到政府里去问他们的事情时,政府办事人欢喜呢,答他们一两句,不欢喜呢,理也不理,还要说他们‘吵乱子’”。因此,他要求把官僚主义这个极坏的家伙抛到粪缸里去。
黑盒测试,在实践中是用得最多,也最有效的方法。通过对核心路由器、交换机进行抓包,根据节点流量及网络流向,显示网络访问拓扑图,目前市面上有许多网络抓包产品可以辅助做该项工作。
图1 常见集群环境网络拓扑
例如给出带电粒子的质量为m、带电量为q以及初速度v0,使粒子从两极板中部穿过匀强电场,并给出极板长度L,极板间距离为d,极板间的电压U(如图一),那么粒子将会有两种运动结果,其一是带电粒子可能落在平行板电容器的下极板上,其二是带电粒子可能逸出平行板电容器。
在参考模型中,散射体数量是无限的,即N→∞.假设散射体仅散射一次,而且经过散射体散射到达接收机的功率是相等的,则复信道增益hpq(t)的散射部分可看作是来自N个散射体的矢量叠加:
对于商业私有云环境,通常使用一套系统管理程序配置整个虚拟化网络,通过管理软件的系统漏洞,渗透进入虚拟网络系统,可以清楚了解整个网络拓扑,甚至可以直接用来控制计算机进行取证,这对电子数据取证,获取整个数据流向将非常有效。
2.1.2 获取管理员权限的取证
其中:Iα-1, 4和 Iα-1, 6分别代表淀粉分子中 α-1,4键(大约5.11×10-6)和α-1,6键(大约4.75×10-6)在核磁共振图谱中所代表峰的积分面积。
获取整个系统的管理员权限无疑是最简单直接的方法,直接提取管理员技术文档,瞬间整个系统网络拓扑就变得清晰,但在实践中,犯罪嫌疑人往往不会轻易提供管理员账号、密码,所以针对管理员电子设备展开取证获取系统管理员最高权限很有必要。
2.1.3 黑盒测试方式取证
为了安全和高效率,云环境的网络拓扑,都要考虑负载均衡和冗余设计,所以线路看起来复杂,不便于传统的硬件突破来解决网络传输问题[5]。典型云拓扑图如图1所示。
首先在交换机上找个空闲未使用的物理接口(通过外接入测试交换机也可以),通过交换机其他端口监控该端口流量,将装有Wireshark等监控软件的PC机接入交换机的监视端口开启抓包功能(PC机的IP地址、掩码、网关可随意指定,无特殊要求)。根据捕获数据包的协议类型放入数据库进行分类处理,通过数据库统计、分析,最终获得整个系统网络拓扑,流程图如图2所示。
图2 抓包处理流程图
2.2 海量数据库取证方法
吉林大学应用技术学院根据计算机软件技术专业类人才需求变化和学生自身职业方向的需要,第四学期会进行为期3周的《企业级项目开发实训》专业实践教学。该实习秉承“职业导向,兴趣驱动,分类指导”原则,在完成企业级项目应用开发实训的同时,锻炼学生分组合作、集中开发、完成真实项目的能力。笔者在该实践教学过程中,以问题为导向,以自定义分组项目为依托,通过边做项目边学习的方式让学生了解并熟练掌握ASP.NET相关知识,最终达到能利用ASP.NET开发网站的目的。
本文从实战角度出发,针对大型商业私有云的复杂取证环境,提出网络拓扑及数据库的取证框架,解决云计算环境下的取证难点。
根据案件证据需要,将商业私有云中的云服务器、以及密切相关的Oracle、MySQL等关系型数据库中的数据进行导出,并进行数据格式统一化处理,将所有数据记录全部导出为“.sql”格式。
2.2.2 数据文件平面化
编制专门的JAVA程序,部署在高性能Linux集群上,将导出的“.sql”文件转化为Hadoop所要求的文件格式,进行平面化转化,部分转换JAVA代码如图3所示。
图3 Java转换代码
将处理完成后的平面文件上传Hadoop集群环境,此步即可解决云数据库分库分表的问题,我们只需对同一名称表加上不同的时间戳,合并上传到统一文件夹中,即完成了合库合表,如图4所示。
图4 t_pay_record表
2.2.3 重建数据库
小学生处于成长的关键时期,对各种事物有强烈的好奇心。小学教育如果缺乏新颖性,教师只是单纯地进行知识讲解,会使学生在课堂中常常出现学习兴趣下降及注意力不集中的情况。为了实现小学德育与心理教育的整合,就需要教师在教学中做到寓教于乐,积极创设轻松幽默的学习氛围,不断丰富教育载体,鼓励学生自我探索小学德育、心理健康学习,真正做到寓教于乐,整合德育教学及心理健康教育,提升小学语文教育效果。
在Hadoop集群中,采用“Impala”查询分析引擎创建相应的数据表结构,将数据表的格式与上传的数据文件目录进行关联匹配,以完成数据表的重建。在完成数据重建工作和熟悉掌握数据库结构的基础上,可以轻松完成上亿条数据的合并、去重及统计分析,为案件侦办提供了有力的证据支撑。
3 结束语
云计算是一门很深的科学,而且到目前为止,云计算还没有统一的框架、定义和简单可信赖的基础,因此基于云计算下的电子数据取证和调查也仅限于当前的技术和行业层面。从实战经验来看,本文的取证方法虽然解决了证据获取和证据分析问题,但如何构建适用于各类云环境下取证框架并得到司法认可还需进一步深入研究。
电网调度工作较复杂,事关全局,必须加强监督管理的力度。改变原来的靠人管人的监管为靠制度管人,明确责任分工负责。将出票、审票、操作等各个环节纳入严格的监督管理之中,确保每个环节都不出纰漏。
参考文献:
[1]许兰川,卢建明,王新宇.云计算环境下的电子取证及对策[J].刑事技术,2017(2).
[2]姜凤燕,姜瑾,姜吉婷.基于大数据环境的电子取证研究[J].信息网络安全,2016(9).
[3]何晓行,王剑虹.云计算环境下的取证问题研究[J].计算机科学,2012(9).
[4]杨芳菊.基于云的计算机取证系统研究[J].网络安全技术与应用,2016(5).
[5]宋国平.云计算中的网络拓扑设计[J].数字化用户,2013(23).
基金项目: 重庆警察学院科研项目“云计算环境下IDC集群的电子数据取证方法研究”(编号:jy201815)。
标签:云计算论文; 取证论文; 框架论文; 实战论文; 重庆警察学院信息安全系论文;